Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- trojaner und malware von messenger (https://www.dedies-board.de/wbb2/thread.php?threadid=2329)

Geschrieben von flyaway87 am 01.08.2008 um 10:40:

  trojaner und malware von messenger

hallo, habe folgendes problem:zu aller erst hab ich folgenden trojaner auf meinem rechner:In der Datei 'C:\Dokumente und Einstellungen\Büro\Desktop\n511975310_134453_9196. exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Buzus.kdx.20' [trojan] gefunden.
....den könnte ich ja mit vundofix entfernen oder?
gestern in msn habe ich einen link erhalten,wo mir ein bekannter schrieb :bist du das? und dann ein link....mit meiner msn addy. naja bin auch drauf gegangen konnte nicht öffnen und gleich wieder entfernt.

habe jetzt mein msn und mein skype runter geschmissen. um erst mal die viren zu entfernen,werde mir dann einen ganz neuen messangernamen ect. zulegen.

wie kann ich das alles nun entfernen?



Logfile of Trend Micro HiJackThis v2.0.2
Scan saved at 06:59, on 2008-08-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 5.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [URL]http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com[/URL]
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.d ll
F1 - win.ini: run=C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.d ll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 5.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe
O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "C:\DOKUME~1\BRO~1\LOKALE~1\Temp\MsgPlusUninstall. exe" /Cleanup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Win32 USB DRiver] kavscv.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Win32 USB DRiver] kavscv.exe (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6412 bytes


anhang :
jetzt stürzt mein pc auch noch ab immer wenn ich den hochfahre,

windows zeigt folgendes an:

Problem verursacht durch: Device Driver

Diese Meldung wurde angezeigt, weil ein auf dem Computer installierter Gerätetreiber eine Störung des Windows-Betriebssystems verursacht hat. Dieser Fehlertyp wird als „STOP-Fehler“ bezeichnet. Beim Auftreten eines STOP-Fehlers ist ein Neustart des Computers erforderlich.

bitte helft mir unglücklich


Geschrieben von dedie am 01.08.2008 um 11:12:

 

'TR/Buzus.kdx.20' ist ein Backdoortrojaner der unter anderm eine fiktive Windowsupdatefuktion einrichtet um ungestört ins I-Net funken zu können was bei dir der fall ist, wie man leicht im Log von HJT erkennen kann "O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe".
Da es bei einem Befall mit aktiven Backdoortrojaner nur eine Lösung gibt solltest du dich mit dem Neuaufsetzen des Systems und anschliessende Absicherung beschäftigen.


Geschrieben von flyaway87 am 01.08.2008 um 15:16:

  mein thema

Das dachte ich mir schon geht aber nicht da ich keine cd habe.habe den pc damals von einem arbeitskollegen gekauft.der allerdings ausser landes ist und ich keine cd habe.und nun?


Geschrieben von dedie am 01.08.2008 um 15:32:

 

Du kannst jede beliebige XP-CD benutzen, es gibt doch bestimmt irgendwo in deinem Bekanntenkreis jemand mit einer XP-CD.

Das einzigste was du brauchst ist einen gültigen Lizenzcode für Windows XP.

PS: Ich habe deinen neuen beitrag mal hier rangehängt


Geschrieben von flyaway87 am 01.08.2008 um 15:44:

 

der lizenscode ist ja aufd er dazugehörigen cd dann oder? sry kenn mich nicht aus.ok dann weiss ich bescheid. muss mal nachfragen,wer eine hat.


hatte das damals schonmal mit ner cd von ner freundin versucht das ging aber nicht woran kann das liegen?


Geschrieben von deoroller am 01.08.2008 um 22:59:

 

Der Produktkey kann auch an dem PC-Gehäuse kleben, wenn XP mit dem PC ausgeliefert wurde.


Geschrieben von flyaway87 am 02.08.2008 um 18:44:

 

hm, also habt ihr vllt noch programme die ihr mir anbieten könnt, platt machen geht nicht.das krieg ich nicht hin. es wird wohl irgendwelche programme geben die mich noch etwas retten können....vorrübergehend bis meine freundin in den nächsten tagen mit dre cd kommt? help me


Geschrieben von deoroller am 02.08.2008 um 19:02:

 

Bei einem solchen Fall sichere ich die komplette Systempartition (auf der ist Windows installiert) mit dem Imageprogramm Acronis TrueImage auf DVD. Das Image kann man dann als virtuelles Laufwerk aufrufen und die benötigten Daten (Bookmarks, Profile, Mails, Kontakte, usw.) wieder zu der neuen Installation hinzufügen. Mailkonten, Passwörter, Dokumente, Eigene Dateien sollte man grundsätzlich zusätzlich extern sichern.


Geschrieben von Haui am 02.08.2008 um 19:15:

 

Zitat:
Original von flyaway87
hm, also habt ihr vllt noch programme die ihr mir anbieten könnt, platt machen geht nicht.das krieg ich nicht hin. es wird wohl irgendwelche programme geben die mich noch etwas retten können....

Nein, ein saubers System bekommst du ausschließlich durch ein Löschen der Festplatte und eine Neuinstallation des Betriebssystems. Jeder, der dir etwas anderes verspricht, verschweigt dir das Restrisiko, das eine "Bereinigung" mit sich bringt.

Zitat:
vorrübergehend bis meine freundin in den nächsten tagen mit dre cd kommt? help me

Bis dahin solltest du die Internetverbindung deines Rechners unterbrechen, d.h. das Lankabel ziehen. Das hat zweierlei Vorteile: erstens kann dein Rechner nicht missbraucht werden und zweitens infizierst du so keine weiteren Rechner.
Als sichere Alternative bleibt sonst nur, den Rechner einfach nicht einzuschalten.


Geschrieben von Vimes am 03.08.2008 um 22:50:

 

Drittens ist z.B. Onlinebanking von einer verseuchten Kiste ... wie steigert man grob fahrlässig? Hm, eigentlich kommt das dann schon auf Vorsatz raus großes Grinsen Also: Finger weg von dem Ding.

MfG
Vimes


Geschrieben von Rene-gad am 04.08.2008 um 14:17:

  RE: trojaner und malware von messenger

Hallo flyaway87
Mit einer Hauch von Angst, hier tod geschlagen zu werden auslach , empfehle ich Dir, hier nachzulesen (nur falls das Neuaufsetzen wirklich nicht möglich ist) bitte


Geschrieben von Haui am 04.08.2008 um 14:35:

 

Rene-gad, totgeschlagen wird hier sicherlich niemand. Petzauge
Dennoch weißt du genauso gut wie ich, dass eine Bereinigung, wie sie in Foren durchgeführt wird, immer ein Restrisiko birgt - egal ob dafür Tool A, B, C oder gleich alle drei eingesetzt werden. Die einzige Möglichkeit für einen Laien ist ein Neuaufsetzen, daran lässt sich nicht rütteln - trotz "Rootkit-detection", "Behaviour-Scanning" und was es sonst noch so gibt.


Geschrieben von Rene-gad am 04.08.2008 um 15:18:

 

Zitat:
Original von Haui
Rtrotz "Rootkit-detection", "Behaviour-Scanning" und was es sonst noch so gibt.
Beim AVZ gibt es so gut wie Keines davon: Wer glaubt an igrendein Detekt wird selig gesprochen. cool


Geschrieben von Haui am 04.08.2008 um 15:33:

 

Zitat:
Original von Rene-gad
Zitat:
Original von Haui
Rtrotz "Rootkit-detection", "Behaviour-Scanning" und was es sonst noch so gibt.
Beim AVZ gibt es so gut wie Keines davon: Wer glaubt an igrendein Detekt wird selig gesprochen. cool

Das ist hier auch völlig unerheblich, denn auch AVZ läuft selbst auf dem kompromittierten System. Schon allein deshalb ist ein wie auch immer lautendes Ergebnis nicht mehr vertrauenswürdig.


Geschrieben von Rene-gad am 04.08.2008 um 15:34:

 

Zitat:
Original von Haui
Das ist hier auch völlig unerheblich, denn auch AVZ läuft selbst auf dem kompromittierten System. Dadurch ist ein wie auch immer lautendes Ergbnis nicht mehr vertrauenswürdig.
Das Vorlesen mir der theoretischen Grundlagen der Backdoor-Bekämpfung kannst Du Dir sparen großes Grinsen
BTW: AVZ ist in die letzten Versionen von KAV/KIS für die Sammlung der Systeminformationen für KAV-Support integriert Petzauge .


Geschrieben von Haui am 04.08.2008 um 15:38:

 

Nunja...was soll es denn dann bringen, deine Anleitung durchzuarbeiten?
Ein vielleicht bereinigtes System? Sorry, da verstehe ich den Sinn, der dahinter stecken soll, nicht wirklich...


Geschrieben von Rene-gad am 04.08.2008 um 15:56:

 

Zitat:
Original von Haui
Nunja...was soll es denn dann bringen, deine Anleitung durchzuarbeiten?
Für die meisten Gentoo-User - gar nix Petzauge . Aber AVZ liefert sehr ausführliche Informationen über ein Windows-System, die auch für die Vielleicht-Bereinigung nützlich sind. Nein, es gibt nach wie vor keine sicherste Methode, die Malware los zu werden, als format c: \. Aber wenn es so ist, wie TO uns schildert - nämlich es liegt keine Original-Windows CD vor - wäre es ein Versuch wert.
BTW: Vor 100 Jahren keiner hatte geglaubt, dass die Verbrennungsmotoren eine schöne und prachtvolle Pferdekutsche ersetzen können.
Und auch jetzt ädern sich die Zeiten, mein lieber Freund Haui saufen


Geschrieben von Haui am 04.08.2008 um 16:26:

 

Zitat:
Original von Rene-gad
Für die meisten Gentoo-User - gar nix Petzauge . Aber AVZ liefert sehr ausführliche Informationen über ein Windows-System, die auch für die Vielleicht-Bereinigung nützlich sind. Nein, es gibt nach wie vor keine sicherste Methode, die Malware los zu werden, als format c: \. Aber wenn es so ist, wie TO uns schildert - nämlich es liegt keine Original-Windows CD vor - wäre es ein Versuch wert.

Rene-gad, du darfst mir glauben, wenn ich dir versichere, dass ich mich durchaus auch im Windows-Umfeld auskenne.
Und so wie ich das lese, hat der TO durchaus eine Windows-CD, Zitat "bis meine freundin in den nächsten tagen mit dre cd kommt". Falls er übrigens keine hätte, wäre das noch lange kein Grund für eine "Bereinigung". Petzauge

Und dass AVZ nützliche Informationen über ein Windows-System liefert will ich gar nicht bestreiten, bloß - das machen andere Tools auch, manche sicherlich schlechter, andere vielleicht besser. Das ändert aber nach wie vor einfach nichts an der Sachlage - denn wenn "fornmat c:" die einzige sichere Methode ist, dann gibt es sonst nur unsichere Methoden.


Zitat:
BTW: Vor 100 Jahren keiner hatte geglaubt, dass die Verbrennungsmotoren eine schöne und prachtvolle Pferdekutsche ersetzen können.

Netter Spruch, bloß hier leider fehl am Platze. Petzauge
Technischer Fortschritt ist eine Sache, aber ein Tool wie AVZ ist sicherlich kein Meilensprung in der Malwarebekämpfung.
Übrigens - schon zu Zeiten der Pferdekutsche wurden Räder kreisförmig gebaut und so ist es auch heute noch.

Zitat:
Und auch jetzt ädern sich die Zeiten, mein lieber Freund Haui saufen

Ja, leider nicht immer zum besseren.